Event Tracing for Windows(ETW) - 进行事件跟踪 译(3)

最新推荐文章于 2024-05-28 10:02:07 发布
最新推荐文章于 2024-05-28 10:02:07 发布
阅读量2.2k 收藏 3
点赞数
文章标签: Windows ETW C++
原文链接:https://docs.microsoft.com/en-us/windows/win32/etw/about-event-tracing
版权

About Event Tracing

原文链接
作者:Microsoft
译者:塔塔塔塔塔

ETW是高性能的内核级跟踪工具,它让我们记录内核或应用定义的事件到一个日志文件。你可以是实时或从日志文件中使用Event去调试应用程序或确定应用程序的性能问题的位置。

ETW可以让我们来动态的Enable 或Disable事件跟踪,从而在生产环境执行详细的跟踪而不需要重启电脑或应用程序。
事件跟踪分为三个部分:

  • Controllers,开启和停止Event Tracing Session 和 Enable Providers(提供者,三个部分的其中一个)。
  • Providers,提供事件。
  • Consumers,消耗事件。

译ps: Providers 可以理解为生产者,Consumers可以理解为消费者,Controllers是为生产者提供场地以及启用生产的。

可以参考下面Microsoft提供的Event Tracing Model
在这里插入图片描述

Controllers

Controllers应用 包含 ①定义日志文件大小和位置,②开始和停止事件跟踪会话(Event Tracing Session),③启用Providers是它可以记录Evnet到Session中,④管理缓冲区大小,⑤Session的执行统计信息。Session统计包含使用过的buffer数目,已传送buffer的数目,事件数目,丢失数目。

详细信息查看Controlling Event Tracing Sessions

Providers

Providers应用 包含事件跟踪检测(Event Tracing Instrumentation). 当Provider注册它本身时,Controller 可以启用或停用Provider中的事件跟踪(Event Tracing),Provider 定义解释Enable和Disable。通常Enable Provider会产生Event,Disable Provider则不产生。这样让我们可以在应用里添加Event Tracing而用总生成Event。

尽管ETW将Provider和Controller分为两个独立的应用,但也可以在同一个程序包含这两个组件。

详细信息查看Providing Events

Providers的类型

Provider有主要的4种类型:MOF(经典)、WPP、Manifest-Based(基于清单)、TraceLogging。如果你是为了编写Windows Vista或更高的版本且不需要支持低版本系统的应用时,你应该使用Manifest(基于清单)或TraceLogging类型的Providers。

MOF(classic) Providers:
  • 使用RegisterTraceGuids 和TraceEvent函数去注册和写Event。
  • 使用MOF类定义事件以便Consumers知道如何去消耗它们。
  • 一次只可以启用一个跟踪Session。
WPP Providers:
  • 使用RegisterTraceGuids 和TraceEvent函数去注册和写Event。
  • 具有关联的TMF文件(编译为二进制文件的.pdb),其中包含从预处理程序对WPP工具的源代码扫描中得出的解码信息。
  • 一次只可以启用一个跟踪Session。
Manifest-based providers:
  • 使用RegisterTraceGuids 和TraceEvent函数去注册和写Event。
  • 使用Manifest-based定义事件以便Consumers知道如何去消耗它们。
  • 最多同时可以启用Enable 8个 Session。
TraceLogging providers:
  • 使用TraceLoggingRegister 和TraceLoggingWrite去注册和写Session。
  • 使用Self-Describing Event以便消耗本身包含的所需信息。
  • 最多同时可以启用Enable 8个 Session。
    所有Event Providers 底层都是使用的Event Tracing 系列APIs(对应传统技术调用EventWrite,对于较新技术调用EventWriteEx)。Event Providers只是在 Event Payloads中的不同字段和相关Event解码信息的存储位置不同。

Consumers

Consumers应用 是选择一个或多个事件跟踪Session作为使用Event的源头。一个Consumer可以同时请求来自多个跟踪事件Session。Consumer可以接受Event存储记录到文件中,也可实时的从Event Trace Session中接收。在处理Event时,Consumer可以指定接受开始时间和结束时间,并且Provider只传输在时间范围内发生的事件。

Event丢失

平台,系统诊断程序和其他系统工具可能会报告事件日志中丢失的事件,并指示Windows事件跟踪(ETW)的设置可能不是最佳的。导致事件丢失的原因有很多:

  • 当Event的总大小大于64K时,这包括 ETW 头部信息 + data 或 payload。因为用户是不可以在应用配置这些丢失事件的大小。
  • 当ETW buffer大小小于总事件大小。用户无法控制这些丢失的事件,因为事件大小是由记录事件的应用程序配置的
  • 对于实时日志记录,实时使用者没有足够快地使用事件或不需要的事件导致备份文件被填充满时。如果在记录事件时停止并启动事件日志服务,则可能会导致这种情况。用户无法控制这些丢失的事件。
  • 记录到文件时,磁盘太慢,无法跟上记录频率。

由于以上任何原因,请将这些问题报告给生成事件的应用程序或服务的Provider。 这些问题只能由应用程序开发人员或记录事件的服务来解决。 如果在事件日志服务中报告了丢失的事件,则可能表明事件日志服务的配置存在问题。 用户可能有限地增加了事件日志服务要使用的最大磁盘空间,这可能会减少丢失事件的数量。

要努力闪光的人
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何利用ETWEvent Tracing for Windows)记录日志
weixin_34006965的博客
10-25 2579
ETWEvent Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用内核(Kernel)层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案。 一、ETW模型 事件监测(Event Instrumentation)总会包含两个基本的实体,事件的提供者(ETW Provid...
Production Tracing with Event Tracing for Windows (ETW) - MSBuild 2017 - Slides-计算机科学
04-22
如何查看ETW Trace?
weixin_34209406的博客
08-01 179
三种方法: LogParser Tractrpt - C:\Windows\System32 SvcTraceViewer.exe   后面的链接中有使用的详细步骤.   参考资料 =========================== Tracerpt http://technet.microsoft.com/en-us/library/bb490959.as...
探索技术边界,守护网络安全:ETWProcessMon2 `(v2.1)` 项目解析与应用指南
最新发布
gitblog_00053的博客
05-28 252
探索技术边界,守护网络安全:ETWProcessMon2 (v2.1) 项目解析与应用指南 项目地址:https://gitcode.com/DamonMohammadbagher/ETWProcessMon2 在当今的数字世界中,系统监控和安全防护变得越来越重要。而开源工具【ETWProcessMon2 (v2.1)】正是一款强大的实时进程监控利器,它通过事件跟踪Event Tracing f...
浅析Linux追踪技术之ftrace:Event Tracing
Aspiresky的专栏
02-13 2026
Event Tracing事件追踪)利用在内核代码中加入的各种Tracepoint(追踪点)实现对系统的追踪。Tracepoint可以在不创建自定义内核模块的情况下使用,以使用Event Tracing基础结构注册探测函数。
(ETW) Event Tracing for Windows 入门 (含pdf下载)
weixin_34126557的博客
05-30 503
  内容提纲 • ETW 介绍 • ETW 使用 • ETW 监控本机Demo • ETW 监控远程机器的思路 • 底层类库:EventSource 介绍 • 底层类库:TraceEvent 介绍 ETW 是什么? 1.Event Tracing for Windows (ETW):是由操作系统提供的一种通用的,系统开销较低(与性能日志和警报相比)的事件追踪手段,用以监控具有负载...
ETW的攻与防
hongduilanjun的博客
09-14 2866
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
Malware Dev 04 - 隐匿之 ETWEvent Tracing for Windows)Bypass
0pr
03-06 1885
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETWEvent Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
客户端显示不能连接服务器,客户端不能连接到WSUS服务器
weixin_42401338的博客
08-09 1231
wsus检测工具结果如下:WSUS Client Diagnostics ToolChecking Machine StateChecking for admin rights to run tool . . . . . . . . . PASSAutomatic Updates Service is running. . . . . . . . . . PASSBackground Intell...
Analyzing your game performance using Event Tracing for Windows-计算机科学
04-22
Event Tracing for WindowsEvent Tracing for Windows (ETW) is a kernel-level tracing mechanism that logs various system events to a log file. This log can then be viewed to debug your application or ...
How to use Event Tracing for Windows for Performance Analysis-计算机科学
04-22
How To Use Event Tracing For Windows For Performance AnalysisOutlineWhy use Event Tracing?How to use Event TracingEvent Tracing vs. PerfCountersWhat events should be loggedAn exampleThe kernel ...
WET:.NET 5 Windows事件跟踪包装器库
02-08
WET(Windows事件跟踪)库该库的目的是使用仅两行用于集成器的代码来挂接Windows上的各种事件跟踪事件。要求NET 5 Windows 7 SP1以上安装包装经理Install-Package WET.lib -Version 0.2.0.NET CLI dotnet add ...
EtwTools:用于Windows事件跟踪ETW)的API
03-29
Windows事件跟踪Event Tracing for Windows,简称ETW)是一种高效、低开销的系统级日志记录机制,广泛应用于诊断、性能分析和监控。EtwTools是一个专门针对ETW的API,它允许开发者以编程方式与ETW交互,创建、管理...
Win7、win10下利用ETW Trace跟踪用户的文件读写信息
浪子_三少(邮箱:basketwill@qq.com)
06-30 8202
发表于freebuf :             http://www.freebuf.com/column/138862.html                  Windows® 事件跟踪 (ETW) 是操作系统提供的一个高速通用的跟踪工具。ETW 使用内核中实现的缓冲和日志记录机制,提供对用户模式应用程序和内核模式设备驱动程序引发的事件跟踪机制。自windows2000开始,各
linux内核event原理,Liunx ftrace中event tracing的实现原理
weixin_39566387的博客
05-01 1123
简介event tracing出现已久,大家可能对这个名字有些陌生,由于它是ftrace的一部分,于是经常被ftrace的光芒掩盖,而没有引起注意。本文所介绍的event tracing,使用了大量的宏来产生代码,这使得代码写起来非常简洁,只需定义一个宏就可以,编器在宏处理时会自动把它们展开成需要的代码,这就使得本来较为简单的实现被复杂的宏替换所掩盖。本文力图从这些宏出发,揭露event tra...
ETW windows事件跟踪知识学习的愚见
qq_31314583的博客
07-11 1386
etw模型网上有就不说了,这里主要是几个概念的区分fill:#333;color:#333;color:#333;fill:none;Vista之前Vista之前Vista 引入的新事件模型,统一ETWEvent Logging的APIWIn10基于ETWTraceLogging 引入的简化的检测代码的方法Windows事件事件日志记录 Event LoggingWindows 事件跟踪 ETWWindows事件日志 windows-event-log
windows内核开发学习笔记四十六:事件追踪(ETW
jyl_sh的专栏
07-07 3709
Windows提供了统一的跟踪和记录事件的机制,称为ETWEvent Tracing For Windows)。用户模式应用程序和内核模式驱动程序都可以使用ETW来记录事件ETW是直接由内核支持的事件记录机制。在它的框架结构中,共有三种组件: 控制器(Control):负责启动、停止或配置事件记录会话。 提供者(Provider):负责向ETW注册自己的事件类,并接受控制器的命令,以便启动或者停止它们所负责的事件类的记录过程。 消费者(Consumer):负责有针对性地读取它们想要...
Event Tracing for Windows(ETW) - 使用基于清单的提供者写事件 (10)
勿以恶小而为之,勿以善小而不为
05-18 751
Writing Manifest-based Events 原文链接 作者:Microsoft 者:塔塔塔塔塔 在你写Event跟踪Session 前必须先注册Provider。注册好的Provider会通知ETW你的Provider已经准备好去写Event跟踪Session,您的提供程序已准备好将事件写入跟踪会话。一个进程最多可以注册1,024个Provider的GUID;但是,您应该将程序中注册的Provider的数量限制为一两个。 Windows Vista之前的版本:一个程序可以注册的Pr
Event Trace for Windows - 事件元数据总览 (13)
勿以恶小而为之,勿以善小而不为
06-10 485
Event Metadata Overview 原文链接 作者:Microsoft 者:塔塔塔塔塔 这里概述了Microsoft在Event发生的开端到终端过程中提供的四种跟踪技术:TraceLogging,Manifest-based,WPP和MOF。这四种方式它针对单个Event的有效负载和描述其结构体(Structure)的随附元数据都解决了该问题,从而有可能在以后将事件解码为有意义的数据。在选择适合项目的跟踪技术时,了解每个事件的过程很重要。跟踪没有一种万能的解决方案。 活动有效负载 对于任何微软
spring boot3 和 micrometer-tracing-bridge-brave 进行 rabbit链路无效
06-01
我理解你的问题是关于在Spring Boot 3中使用Micrometer Tracing Bridge Brave进行RabbitMQ链路追踪时遇到的问题。 首先,你需要在你的项目中添加以下依赖: ```xml <dependency> <groupId>io.micrometer</groupId> <artifactId>micrometer-core</artifactId> </dependency> <dependency> <groupId>io.micrometer</groupId> <artifactId>micrometer-registry-prometheus</artifactId> </dependency> <dependency> <groupId>io.micrometer</groupId> <artifactId>micrometer-registry-zipkin</artifactId> </dependency> <dependency> <groupId>io.micrometer</groupId> <artifactId>micrometer-tracing-bridge-brave</artifactId> </dependency> ``` 然后,在你的配置文件中,你需要启用Micrometer和Zipkin: ``` management.metrics.export.zipkin.enabled=true management.metrics.export.zipkin.uri=http://localhost:9411 ``` 接下来,你需要配置RabbitMQ,以便将跟踪信息添加到消息头中: ``` @Bean public RabbitTemplate rabbitTemplate(ConnectionFactory connectionFactory, Tracer tracer) { RabbitTemplate rabbitTemplate = new RabbitTemplate(connectionFactory); rabbitTemplate.setBeforePublishPostProcessors(message -> { Span span = tracer.currentSpan(); if (span != null) { message.getMessageProperties().setHeader("X-B3-TraceId", span.context().traceIdString()); message.getMessageProperties().setHeader("X-B3-SpanId", span.context().spanIdString()); } return message; }); return rabbitTemplate; } ``` 最后,你需要在你的应用程序中创建一个跨度: ```java @Autowired private Tracer tracer; public void sendMessage() { Span span = tracer.nextSpan().name("sendMessage").start(); try (Tracer.SpanInScope ws = tracer.withSpan(span)) { // 发送消息 } finally { span.finish(); } } ``` 如果你的链路追踪仍然无效,可能是因为你的RabbitMQ配置不正确或你的Zipkin服务器没有启动。你可以使用Zipkin UI查看跟踪信息,或者使用Zipkin API查询跟踪信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值